| 名称 | 加固目的 | 系统当前状态 | 实施步骤 |
| 修改默认账户 | 修改默认账户、提高系统安全性 | cd /
cat /etc/passwd | 步骤一:
创建普通用户 tanrt
adduser tanrt passwd tanrt
步骤二:
赋予tanrt权限、并禁止root用户
vim /etc/passwd
tanrt:x:0:1007::/home/tanrt:/bin/bash
root:x:0:0:root:/root:/bin/nologin
root属组用户查找
awk -F ":" '($3=="0"){print $1}' /etc/passwd |
| | | |
| 设置密码策略 | 密码必须满足复杂度要求 | cat /etc/pam.d/system-auth |grep pam_pwquality.so | 步骤一:进入编辑界面
vim /etc/pam.d/system-auth
步骤二:pam_pwquality.so 添加
try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 ocredit=-1 enforce_for_root |
| 设置密码有效期 | 密码有效期90天、提高系统安全性 | cat /etc/login.defs | 步骤一 进入密码设置界面
vim /etc/login.defs
步骤二:修改如下字段
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
PASS_MIN_LEN 8
PASS_WARN_AGE 7 |
| 连续登录失败5次锁定账户10分钟 | cat /etc/pam.d/system-auth | auth required pam_tally2.so onerr=fail deny=3 unlock_time=40 even_deny_root root_unlock_time=30 |
| 超时退出设置 | 15分钟超时退出、提高系统安全性 | cat /etc/profile |grep TMOUT | 步骤一 进入编辑设置界面
vim /etc/profile
export TMOUT=3600 |
| 登录失败锁定账户 | 连续登录失败5次锁定账户10分钟 | find ./ -name pam_tally2.so | auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=1200
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300
vim /etc/pam.d/sshd |
| 禁止root直连 | 禁止使用root账户登录ssh连接,提高系统安全性 | cat /etc/ssh/sshd_config |grep PermitRootLogin | 步骤一:进入编辑界面
vim /etc/ssh/sshd_config
PermitRootLogin no
systemctl restart sshd |
| 修改远程登录端口 | 修改远程登录登录默认端口22 | cat /etc/ssh/sshd_config |grep Port | 步骤一:进入编辑界面
vim /etc/ssh/sshd_config
Port 2200
systemctl restart sshd (防火墙,云控制台添加2200端口) |
| 空口令查询 | 禁止空口令登录系统 | awk -F ":" '($2==""){print $1}' /etc/shadow | 步骤一:
awk -F ":" '($2==""){print $1}' /etc/shadow
查看结果有就存在空口令 |
| | | |
| 添加日志审计规则 | 添加日志审计规则 | auditctl -l | 步骤一:进入编辑界面
vi /etc/audit/rules.d/audit.rules
'-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
####记录登录和登出事件
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins
service auditd restart |
| | | |
| 开启防火墙 | 开启防火墙 | firewall-cmd --state | 步骤一:查看防火墙状态
firewall-cmd --state
步骤二:开启防火墙
no running 未启用防火墙规则
service firewalld start
service firewalld restart
systemctl start firewalld.service
systemctl restart firewalld.service |
| 查看业务端口 | 查看业务端口 | firewall-cmd --list-all | |
| 添加业务端口 | 添加业务特定端口 | firewall-cmd --list-all | 步骤一:添加业务端口
firewall-cmd --permanent --add-port=80/tcp
步骤二:重启防火墙
firewall-cmd --reload |
| 移除业务端口 | 移除业务端口 | firewall-cmd --list-all | 步骤一:移除
firewall-cmd --permanent --remove-port=8080/tcp
步骤二:重启防火墙
firewall-cmd --reload |
| | | |
| 添加日志审计员 | auditor | cat /etc/passwd | 步骤一:添加用户
adduser auditor
passwd auditor
步骤二:修改配置
vi /etc/sudoers
auditor ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head
步骤三:设置访问权限
chown -R auditor:auditor /var/log
|
| 添加安全管理员 | securitor | cat /etc/passwd | 步骤一:添加securitor
adduser -d /etc securitor
步骤二:添加属组指定/etc只允许审计管理员访问
chown -R securitor:securitor /etc
注意:创建文件夹所属权限的账户时候切换账户 提示 -bash-4.1$
执行命令 cp -a /etc/skel/. /etc |
| |
cat etc/firewalld/firewalld.conf | etc/firewalld/firewalld.conf文件将其中的”LogDenied=off”调整为”LogDenied=all“(off表示关闭不记录被拒绝日志,all表示记录所有被拒的日志)
[root@localhost ~]# systemctl restart firewalld.service
[root@localhost ~]# firewall-cmd --get-log-denied
all
|
| 禁ping | | 1可以ping
0禁止ping | echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all |
| | | |
| | | |
| | | |
| | | 添加一个堵塞IP
iptables -I INPUT -s 117.50.179.188 -j DROP
查看
iptables -L -n --line-number
iptables -D INPUT number
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="117.50.179.188" drop'
firewall-cmd --list-all
systemctl restart firewalld.service |
| | | |
| | | |
| | | |
| 异常IP | 源站 | |
| 117.161.29.198 | 117.161.29.197 | 添加
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="117.50.179.188" drop'
移除
firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address="123.44.55.66" drop'
重启
firewall-cmd --reload |